Il 23 luglio, Garmin, la popolare azienda di fitness e tecnologia GPS, è stata vittima di un attacco di cripto-ransomware che ha costretto i servizi più popolari dell’azienda a rimanere offline per tre giorni, mentre la sua rete interna e i sistemi di produzione sono stati criptati. Per la loro decriptazione è stato richiesto un riscatto di 10 milioni di dollari. Questo incidente è l’ultimo di un numero crescente di attacchi mirati di tipo ransomware contro grandi organizzazioni.
Garmin è stato preso di mira dal Trojan WastedLocker, un ransomware che ha incrementato la propria attività nel primo semestre di quest’anno. Questa particolare versione è stata concepita per colpire in modo specifico Garmin e contiene diversi aspetti tecnici insoliti.
Il primo è la tecnica bypass UAC (User Access Control). Il Trojan, una volta lanciato su un dispositivo compromesso, controlla di avere abbastanza privilegi. In caso contrario, tenterà di aumentare silenziosamente il livello dei suoi privilegi ingannando un sistema binario legittimo per lanciare il Trojan nascosto in un flusso NTFS alternativo.
Inoltre, il sample di WastedLocker, analizzato per l’attacco di Garmin, ha utilizzato una singola chiave RSA pubblica, il tipo di chiave utilizzata per criptare i file. Questo avrebbe potuto esser un punto debole se il malware fosse stato distribuito in maniera massiccia. Il decryptor dovrebbe contenere solo una chiave RSA privata per decriptare i file di tutti. Tuttavia, se la campagna è mirata, come lo è stato chiaramente in questo caso, utilizzare una singola chiave RSA è un approccio efficace.
“Questo incidente non fa che evidenziare che c’è un trend crescente di attacchi mirati che sfruttano cripto-ransomware contro grandi aziende, in contrasto con le più diffuse e popolari campagne di ransomware del passato, come WannaCry e NotPetya. Anche se il numero di vittime è inferiore, questi attacchi mirati sono in genere più sofisticati e distruttivi. Inoltre, non ci sono prove che suggeriscano che diminuiranno nel prossimo futuro. Pertanto, è fondamentale che le organizzazioni stiano in allerta e prendano le giuste misure per proteggersi”, ha commentato Fedor Sinitsyn, security expert di Kaspersky.
Per saperne di più sull’attacco WastedLocker che ha preso di mira Garmin leggere l’articolo su Securelist.
Per evitare di essere esposti a WastedLocker e ad altri ransomware, gli esperti di Kaspersky raccomandano di:
- Utilizzare una versione aggiornata del sistema operativo e delle applicazioni
- Utilizzare una VPN per proteggere l’accesso da remoto alle risorse aziendali
- Utilizzare una moderna soluzione di sicurezza per gli endpoint, come Kaspersky Endpoint Security for Business dotata di rilevamento del comportamento e motore di ripristino che consente il rollback automatico dei file, e una serie di altre tecnologie per rimanere protetti dal ransomware
- Educare adeguatamente i propri dipendenti alla sicurezza informatica. Kaspersky Security Awareness offre prodotti di formazione che combinano l’esperienza in materia di sicurezza informatica con le tecniche e le tecnologie educative basate sulle migliori pratiche
- Utilizzare uno schema o una soluzione affidabile per il backup dei dati